第4章 賬戶和存取權(quán)限.ppt

1、1,SQL Server的驗(yàn)證模式 賬戶和角色,第4章 賬戶和存取權(quán)限,2,在數(shù)據(jù)庫(kù)管理系統(tǒng)中，用檢查口令等手段來(lái)檢查用戶身份，合法的用戶才能進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)。當(dāng)用戶對(duì)數(shù)據(jù)庫(kù)執(zhí)行操作時(shí)，系統(tǒng)自動(dòng)檢查用戶是否有權(quán)限執(zhí)行這些操作。,3,4.1 SQL Server的驗(yàn)證模式,SQL Server對(duì)用戶的訪問(wèn)進(jìn)行兩個(gè)階段的檢驗(yàn)： 驗(yàn)證階段 登錄SQL Server時(shí)進(jìn)行的檢查。如果驗(yàn)證通過(guò)，用戶就可以連接到SQL Server上；否則，服務(wù)器將拒絕用戶的登錄。 SQL Server 2005支持兩種身份驗(yàn)證模式：Windows身份驗(yàn)證模式和混合驗(yàn)證模式。 許可確認(rèn)階段 登錄到SQL Server上以后

2、，系統(tǒng)檢查用戶是否有訪問(wèn)服務(wù)器上數(shù)據(jù)的權(quán)限。,4,4.1.1 Windows模式驗(yàn)證 在windows驗(yàn)證模式下，SQL Server檢測(cè)當(dāng)前使用的Windows用戶帳戶，確定該賬戶是否有權(quán)限登錄。該模式不必提交登錄名和密碼。 SQL Server從RPC協(xié)議（遠(yuǎn)程過(guò)程調(diào)用協(xié)議）連接中自動(dòng)獲取登錄過(guò)程中的Windws用戶帳戶信息。多協(xié)議和命名管道自動(dòng)使用PRC協(xié)議。 要使用多協(xié)議和命名管道在客戶和服務(wù)器間建立連接，客戶端的用戶必須有合法的服務(wù)器上的Windows帳戶，或者服務(wù)器啟動(dòng)了Guest帳戶。,4.1 SQL Server的驗(yàn)證模式,5,Windows驗(yàn)證模式有以下主要優(yōu)點(diǎn)： 數(shù)據(jù)庫(kù)管理

3、員的工作可以集中在管理數(shù)據(jù)庫(kù)上面，而不是管理用戶賬戶。對(duì)用戶賬戶的管理可以交給Windows去完成。 Windows有著更強(qiáng)的用戶賬戶管理工具?？梢栽O(shè)置賬戶鎖定、密碼期限等。 Windows的組策略支持多個(gè)用戶同時(shí)被授權(quán)訪問(wèn)SQL Server。,4.1 SQL Server的驗(yàn)證模式,6,4.1.2 混合驗(yàn)證模式 混合身份驗(yàn)證模式，也就是基于Windows 身份驗(yàn)證和SQL Server身份混合驗(yàn)證。在這個(gè)模式中，系統(tǒng)會(huì)判斷賬號(hào)在Windows操作系統(tǒng) 下是否可信，對(duì)于可信連接，系統(tǒng)直接采用Windows身份驗(yàn)證機(jī)制，而非可信連接，這個(gè)連接 不僅包括遠(yuǎn)程用戶還包括本地用戶，SQL Serve

4、r 會(huì)自動(dòng)通過(guò)賬戶的存在性和密碼的匹配 性來(lái)進(jìn)行驗(yàn)證。,4.1 SQL Server的驗(yàn)證模式,7,4.1.2 混合驗(yàn)證模式 混合驗(yàn)證模式允許以SQL Server驗(yàn)證模式或者Windows驗(yàn)證模式來(lái)進(jìn)行驗(yàn)證。使用哪種模式取決于在最初的通信時(shí)使用的網(wǎng)絡(luò)庫(kù)。 如果一個(gè)用戶使用的是TCP/IP Sockets進(jìn)行登錄驗(yàn)證，則將使用SQL Server驗(yàn)證模式；如果用戶使用Named Pipes，則登錄時(shí)將使用Windows驗(yàn)證模式。 如果網(wǎng)絡(luò)主要是Windows網(wǎng)，則用戶登錄Windows已經(jīng)得到了確認(rèn)，使用Windows驗(yàn)證模式將減輕系統(tǒng)的工作負(fù)擔(dān)。 如果網(wǎng)絡(luò)主要是Novell網(wǎng)或?qū)Φ染W(wǎng)，則使用

5、SQL Server驗(yàn)證模式比較方便。,4.1 SQL Server的驗(yàn)證模式,8,SQL Server驗(yàn)證模式處理登錄的過(guò)程： 用戶輸入登錄名和密碼后， SQL Server在系統(tǒng)注冊(cè)表中檢測(cè)輸入的登錄名和密碼。如果輸入的登錄名存在，而且密碼也正確，就可以登錄到SQL Server上。,4.1 SQL Server的驗(yàn)證模式,9,混合驗(yàn)證模式具有如下優(yōu)點(diǎn)： 創(chuàng)建了Windows之上的另外一個(gè)安全層次。 支持更大范圍的用戶，例如非Windows客戶、Novell網(wǎng)絡(luò)等。 一個(gè)應(yīng)用程序可以使用單個(gè)的SQL Server登錄和口令。,4.1 SQL Server的驗(yàn)證模式,10,4.1.3 設(shè)置驗(yàn)

6、證模式 在第一次安裝SQL Server，或者使用SQL Server連接其他服務(wù)器的時(shí)候，需要指定驗(yàn)證模式。 對(duì)于已經(jīng)指定驗(yàn)證模式的SQL Server服務(wù)器，在SQL Server中可以進(jìn)行修改。,4.1 SQL Server的驗(yàn)證模式,11,將Windows 驗(yàn)證模式改為 SQL Server 驗(yàn)證模式并啟用 sa (超級(jí)管理員)登錄帳戶： 第1步：在“對(duì)象資源管理器”窗口中，選擇服務(wù)器，右擊，在彈出的快捷菜單上選擇“屬性”命令，然后在打開(kāi)的“服務(wù)器屬性”對(duì)話框中，選擇“安全性”選項(xiàng)，打開(kāi)“安全性”選項(xiàng)卡 . 第2步：在“服務(wù)器身份驗(yàn)證”欄中選擇“SQL Server和Windows身份

7、驗(yàn)證模式” ，單擊“確定”按鈕.,4.1 SQL Server的驗(yàn)證模式,12,第3步：?jiǎn)⒂?sa 登錄帳戶 方法一：使用 Transact-SQL 啟用 sa 登錄帳戶： 執(zhí)行下列語(yǔ)句以啟用 sa 帳戶并分配一個(gè)密碼。 ALTER LOGIN sa ENABLE ;GOALTER LOGIN sa WITH PASSWORD = ;GO 方法二：使用 Management Studio 啟用 sa 登錄帳戶： 在對(duì)象資源管理器中，依次展開(kāi)“安全性”、“登錄名”，右鍵單擊“sa”，再單擊“屬性”。 在“常規(guī)”頁(yè)上，為 sa 登錄名創(chuàng)建密碼并確認(rèn)該密碼。 在“狀態(tài)”頁(yè)的“登錄”部分中，單擊“啟用

8、”，然后單擊“確定”。,4.1 SQL Server的驗(yàn)證模式,13,第4步：重新啟動(dòng) SQL Server。在對(duì)象資源管理器中，右擊服務(wù)器，再單擊“重新啟動(dòng)”（或“斷開(kāi)連接”再重新“連接”，或者在配置管理器中重新啟動(dòng)服務(wù)器）。 如果運(yùn)行有 SQL Server 代理，則也必須重新啟動(dòng)該代理。 （SQL SERVER 代理主要用來(lái)執(zhí)行SQL SERVER 內(nèi)部的一些定時(shí)任務(wù)，比如：定時(shí)備份數(shù)據(jù)庫(kù)，定時(shí)執(zhí)行某個(gè)存儲(chǔ)過(guò)程或某些SQL語(yǔ)句等，是SQL SERVER 作業(yè)的必然條件。）,4.1 SQL Server的驗(yàn)證模式,14,4.2 賬戶和角色,SQL Server的兩種賬戶： 登錄服務(wù)器的登錄

9、帳戶（login name） 登錄帳戶只是讓用戶登錄到SQL Server中，并不能讓用戶訪問(wèn)服務(wù)器中的數(shù)據(jù)。要訪問(wèn)特定的數(shù)據(jù)庫(kù)，還必須具有用戶名。 使用數(shù)據(jù)庫(kù)的用戶帳戶（user name ） 用戶名在特定的數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建，必須關(guān)聯(lián)一個(gè)登錄名。 用戶定義的信息放在服務(wù)器上的每個(gè)數(shù)據(jù)庫(kù)的sysusers表中。通過(guò)授權(quán)給用戶來(lái)指定用戶可以訪問(wèn)的數(shù)據(jù)庫(kù)對(duì)象的權(quán)限。,15,4.2.1 登錄帳戶 登錄到SQL Server服務(wù)器，必須具有一個(gè)登錄帳戶。 兩個(gè)默認(rèn)登錄帳戶： 1. BUILTINAdministrators 凡是屬于Windows中的Administrators組的帳戶都允許登錄SQL S

10、erver。 2. sa 超級(jí)管理員帳戶 允許SQL Server的系統(tǒng)管理員登錄，該SQL Server的管理員不一定是Windows管理員。,4.2 賬戶和角色,登錄帳戶的創(chuàng)建 登錄帳戶的屬性修改 登錄帳戶的刪除,16,4.2 賬戶和角色,17,創(chuàng)建以sql server身份驗(yàn)證的登錄賬戶，步驟： 1. 打開(kāi)SQL Server Manager Studio，展開(kāi)服務(wù)器，在 “安全性”下的“登錄名”上右擊，選擇新建登錄名”，彈出“登錄名-新建”對(duì)話框，在登錄名框中輸入登錄名，如：bookadm，選擇“SQL SERVER身份驗(yàn)證”，并輸入密碼，可以把“用戶下次登錄時(shí)必須修改密碼”取消掉。選

11、擇默認(rèn)數(shù)據(jù)庫(kù)。,4.2 賬戶和角色,18,在“選擇頁(yè)”中單擊“服務(wù)器角色”，選擇登錄帳戶 所屬的服務(wù)器角色（服務(wù)器角色是具有不同管理任務(wù)的登錄賬戶組）。 在“選擇頁(yè)”中單擊“用戶映射”，在上面一欄選擇要映射的數(shù)據(jù)庫(kù)，如bookdb，在用戶列會(huì)自動(dòng)出現(xiàn)數(shù)據(jù)庫(kù) 用戶bookadm（該用戶將自動(dòng)創(chuàng)建）。在下面一欄選擇數(shù)據(jù)庫(kù)角色成員身份，如可選中“db-owner”和“public” 。 在“選擇頁(yè)”中單擊狀態(tài)選中“授予”、“啟用”，然后點(diǎn)擊確定。,4.2 賬戶和角色,19,2. 右擊SQL服務(wù)器，選擇“屬性”，彈出的“服務(wù)器屬性”對(duì)話框中，單擊“安全性”，在“服務(wù)器身份驗(yàn)證”下面選中“SQL SER

12、VER和WINDOWS身份驗(yàn)證模式”。 3. 重新啟動(dòng)服務(wù)器并登錄： 右擊服務(wù)器，選擇“重新啟動(dòng)”或“停止”后再“啟動(dòng)”，單擊對(duì)象資源管理器中的“連接”，選“數(shù)據(jù)庫(kù)引擎”，在打開(kāi)的對(duì)話框中輸入剛才的用戶名和密碼就可以登錄了。,4.2 賬戶和角色,20,創(chuàng)建以Windows身份驗(yàn)證的登錄賬戶： 在 “登錄名-新建”對(duì)話框中，在登錄名文本框中輸入登錄名，選擇“Windows 身份驗(yàn)證”，單擊“搜索”按鈕，在打開(kāi)的“選擇用戶和組”對(duì)話框中輸入Windows系統(tǒng)的用戶作為登錄帳戶或單擊“高級(jí)”按鈕查找用戶和組作為登錄賬戶。,4.2 賬戶和角色,21,登錄賬戶的屬性修改： 在登錄帳戶上右擊，選擇“屬性”

13、，打開(kāi)登錄帳戶屬性對(duì)話框，在該對(duì)話框中可對(duì)其屬性進(jìn)行修改。,4.2 賬戶和角色,22,登錄賬戶的刪除： 在登錄帳戶上右擊，選擇“刪除”，在打開(kāi)的對(duì)話框中選擇“確定”。,4.2 賬戶和角色,23,4.2.2 數(shù)據(jù)庫(kù)用戶 每個(gè)登錄帳戶在一個(gè)數(shù)據(jù)庫(kù)中只能有一個(gè)用戶帳戶，但是每個(gè)登錄帳戶可以在不同的數(shù)據(jù)庫(kù)中各有一個(gè)用戶帳戶。 在新建登錄帳戶時(shí)，可通過(guò)“用戶映射”來(lái)創(chuàng)建一個(gè)與該登錄帳戶同名的數(shù)據(jù)庫(kù)用戶來(lái)指定數(shù)據(jù)庫(kù)的存取權(quán)限。 登錄帳戶對(duì)某個(gè)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，并不表示該登錄帳戶對(duì)該數(shù)據(jù)庫(kù)具有存取權(quán)限。如果要對(duì)數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行插入等更新操作，還需要設(shè)置用戶帳戶的權(quán)限。,4.2 賬戶和角色,24,如果在創(chuàng)建

14、登錄帳戶時(shí)沒(méi)有指定對(duì)某個(gè)數(shù)據(jù)庫(kù)的存取權(quán)限，則在數(shù)據(jù)庫(kù)中，可創(chuàng)建一個(gè)新的用戶帳戶，并關(guān)聯(lián)到該登錄帳戶，則該登錄帳戶會(huì)自動(dòng)具有對(duì)該數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。 例：在AdventureWorks庫(kù)中創(chuàng)建一個(gè)用戶帳戶A1，并將其關(guān)聯(lián)到已存在的bookadm登錄帳戶中。,4.2 賬戶和角色,25,4.2.3 角色 角色是一組用戶所構(gòu)成的組，在同一角色中的用戶有相同的權(quán)限。 角色可將用戶集中到一個(gè)單元中，然后對(duì)該單元應(yīng)用權(quán)限。對(duì)一個(gè)角色授予、拒絕的權(quán)限也適用于該角色的任何成員。如：可以建立一個(gè)角色來(lái)代表單位中一類工作人員所執(zhí)行的工作，然后給這個(gè)角色授予適當(dāng)?shù)臋?quán)限。當(dāng)工作人員開(kāi)始工作時(shí)，只須將他們添加為該角色成員，

15、當(dāng)他們離開(kāi)工作時(shí)，將他們從該角色中刪除。而不必在每個(gè)人接受或離開(kāi)工作時(shí)，反復(fù)授予、拒絕其權(quán)限。權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效。,4.2 賬戶和角色,26,角色可分為服務(wù)器角色和數(shù)據(jù)庫(kù)角色。 服務(wù)器角色：由服務(wù)器賬戶組成的組，負(fù)責(zé)管理和維護(hù)SQL Server。根據(jù)SQLServer的管理任務(wù)以及這些任務(wù)的相對(duì)重要性等級(jí)把具有SQL Server管理職能的用戶劃分為不同的組。每一組所具有的管理SQL Server的權(quán)限都是SQL Server內(nèi)置的。 數(shù)據(jù)庫(kù)角色：由數(shù)據(jù)庫(kù)成員所組成的組，數(shù)據(jù)庫(kù)角色指定了可以訪問(wèn)相同數(shù)據(jù)庫(kù)對(duì)象的一組數(shù)據(jù)庫(kù)用戶。當(dāng)幾個(gè)用戶需要在某個(gè)特定的數(shù)據(jù)庫(kù)中執(zhí)行類似的動(dòng)作時(shí)，

16、就可以向該數(shù)據(jù)庫(kù)中添加一個(gè)角色。,4.2 賬戶和角色,27,服務(wù)器角色 Sysadmin 可執(zhí)行SQL Server中的任何動(dòng)作 Serveradmin 可設(shè)置服務(wù)器范圍的配置選項(xiàng) Setupadmin 可管理鏈接服務(wù)器和啟動(dòng)過(guò)程 Securityadmin 可管理登錄和創(chuàng)建數(shù)據(jù)庫(kù)、讀取錯(cuò)誤日志和更改密碼。 Processadmin 管理SQL Server進(jìn)程 Dbcreator 創(chuàng)建、修改和刪除數(shù)據(jù)庫(kù) Diskadmin 管理磁盤文件 Bulkadmin 可執(zhí)行大容量插入語(yǔ)句 Public 具有查看任何數(shù)據(jù)庫(kù)的權(quán)限,4.2 賬戶和角色,28,數(shù)據(jù)庫(kù)角色 db_owner 在數(shù)據(jù)庫(kù)中有全部權(quán)

17、限 db_accessadmin 可以添加、刪除用戶 db_datareader 可以查看所有數(shù)據(jù)庫(kù)中用戶表內(nèi)數(shù)據(jù) db_datawriter 可以添加、修改或刪除所有數(shù)據(jù)庫(kù)中用戶表內(nèi)數(shù)據(jù)的用戶 db_ddladmin 可以在數(shù)據(jù)庫(kù)中執(zhí)行所有定義操作 db_securityadmin可以管理數(shù)據(jù)庫(kù)中與安全權(quán)限有關(guān)所有動(dòng)作 db_backupoperator 可以備份數(shù)據(jù)庫(kù) db_denydatareader 不能選擇數(shù)據(jù)庫(kù)中任何數(shù)據(jù) db_denydatawriter 不能更改數(shù)據(jù)庫(kù)中任何數(shù)據(jù) Public 最基本的數(shù)據(jù)庫(kù)角色,4.2 賬戶和角色,29,例：查看數(shù)據(jù)庫(kù)bookdb中db_own

18、er數(shù)據(jù)庫(kù)角色的屬性，并將用戶A1加入到該角色中。 例：創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)角色oprole，并向該角色中添加數(shù)據(jù)庫(kù)成員，然后設(shè)置該角色的權(quán)限。,4.2 賬戶和角色,30,應(yīng)用程序角色 應(yīng)用程序角色只使用應(yīng)用程序，因而不需要把權(quán)限直接賦予用戶，所以應(yīng)用程序角色沒(méi)有任何成員。此外需要為應(yīng)用程序設(shè)置一個(gè)口令來(lái)激活它。 應(yīng)用程序角色可以加強(qiáng)對(duì)某個(gè)特定的應(yīng)用程序的安全。這些角色允許應(yīng)用程序自己代替SQL Server接管用戶身份驗(yàn)證的職責(zé)。比如，如果公司中的員工只是使用某個(gè)特定的應(yīng)用程序(而不是使用Transact-SQL語(yǔ)句或其他任何工具)來(lái)修改員工的數(shù)據(jù)信息，那么就可以為它創(chuàng)建一個(gè)應(yīng)用程序角色。 當(dāng)應(yīng)用程序角色被應(yīng)用程序的會(huì)話激活以用于連接時(shí)，在連接期間，會(huì)話就失去了登錄、用戶賬戶或所有數(shù)據(jù)庫(kù)中的角色的權(quán)限。,4.2 賬戶和角色,31,public數(shù)據(jù)庫(kù)角色的權(quán)限 public角色是一種特殊的固定數(shù)據(jù)庫(kù)角色，當(dāng)在數(shù)據(jù)庫(kù)添加新用戶帳戶時(shí)，SQL Server會(huì)自動(dòng)將新用戶帳戶加入public數(shù)據(jù)庫(kù)角色中，即數(shù)據(jù)庫(kù)的每個(gè)合法用戶都屬于該角色。 public角色為數(shù)據(jù)庫(kù)中的用戶提供了所有默認(rèn)權(quán)限。 對(duì)于用戶建立的數(shù)據(jù)庫(kù)對(duì)象， public角色默認(rèn)是不設(shè)置權(quán)限。 public角色為數(shù)據(jù)庫(kù)中的所有用戶都保留了默認(rèn)的權(quán)限，